Política de privacidad

ACUERDO DE TRATAMIENTO DE DATOS SEGURIDAD, CONTROL Y DETECCIÓN S.L.

Los servicios de SEGURIDAD que puede contratar el CLIENTE son diversos y puede implicar distintos tratamientos de datos por ambas partes, por ello, es preciso distinguir los siguientes casos:

1. Cuando el CLIENTE contrate servicios de verificación de saltos de alarma mediante dispositivos conectados a la central receptora de Alarmas (en adelante CRA) de SECOND. La finalidad de dicho tratamiento es la de comunicar los saltos de alarma a la persona o personas designadas por el CLIENTE, y los saltos de alarma reales a las Fuerzas y Cuerpos de seguridad del Estado. Se pueden presentar los siguientes casos, en los que SECOND será considerado RESPONSABLE DEL TRATAMIENTO:

1. Cuando el servicio NO implica el tratamiento de imágenes. En el caso de que llegue una señal de robo a la CRA, SECOND se limitará a realizar las comprobaciones de las claves y/o contra-claves con el CLIENTE, o con la persona que hubiera sido designada por éste, siendo SECOND el Responsable del tratamiento de dichas comprobaciones.
2. Cuando el servicio IMPLICA el tratamiento de imágenes de un Circuito Cerrado de Televisión (en adelante CCTV). En el caso de que llegue una señal de robo a la CRA, SECOND, además de comprobar las claves con el CLIENTE, o con la persona que hubiera sido designada por éste, podrá acceder de manera remota a las imágenes captadas por el CCTV con el objeto de verificar si ha habido una intrusión.
3. Cuando el servicio IMPLICA el tratamiento de imágenes por FOTODETECTORES. En el caso de que llegue una señal de robo a la CRA, SECOND, además de comprobar las claves con el CLIENTE, o con la persona que hubiera sido designada por éste, recibirá las imágenes captadas por los fotodetectores con el objeto de verificar si ha habido una intrusión. Además, podrá grabar dichas imágenes en sus propios sistemas, o bien, en los de los proveedores tecnológicos de SECOND, con el objeto de ponerlas a disposición posteriormente del cliente y/o de las Fuerzas y cuerpos de seguridad del Estado. En caso de caídas o rupturas de la red u otros fallos del sistema, es posible que dichas imágenes no se graben en los sistemas de SECOND o de sus proveedores, por lo que SECOND se exonera de toda responsabilidad derivada de dichas caídas, rupturas o fallos del sistema.

Se informa al CLIENTE las llamadas telefónicas entre el CLIENTE y SECOND sobre el servicio de CRA serán grabadas, por motivos de calidad y seguridad.

1. Cuando SECOND trate imágenes que no tengan como objeto la verificación de saltos de alarma. Como, por ejemplo, actividades de VIDEOVIGILANCIA, o solicitud de servicios de fotopedición realizados por el CLIENTE. En estos casos el CLIENTE será considerado RESPONSABLE DEL TRATAMIENTO y SECOND será considerado ENCARGADO DEL TRATAMIENTO.

1. Cuando SECOND no gestione o grabe las imágenes, por ejemplo, cuando el CLIENTE contrate un servicio de instalación y/o mantenimiento técnico de un Sistema de Videovigilancia Circuito Cerrado de Televisión (en adelante CCTV). que no está conectado a la Central Receptora de Alarmas de SECOND. En este supuesto el CLIENTE será considerado RESPONSABLE DEL TRATAMIENTO y SECOND un ENCARGADO DEL TRAMAMIENTO que podrá acceder a los sistemas de videovigilancia para prestar dichos servicios de mantenimiento técnico, y por tanto los técnicos de SECOND podrían tratar datos durante la prestación de dichos servicios, tanto en los locales del Responsable como por asistencia remota.

OBLIGACIONES DEL CLIENTE COMO RESPONSABLE DEL TRATAMIENTO

El CLIENTE que también podrá ser nombrado en adelante, como EL RESPONSABLE, deberá estar al corriente en lo que concierne a las obligaciones derivadas de la normativa de protección de datos, especialmente en lo que se refiere a la implantación de las medidas de seguridad para las diferentes categorías de datos y de tratamiento establecidas en el artículo 32 del RGPD. El CLIENTE deberá cumplir con los siguientes deberes:

• MINIMIZACIÓN DE DATOS. El principio de minimización del art. 5 del RGPD requiere que los datos personales tratados sean adecuados, pertinentes y limitados en relación con los fines para los que son tratados. En el ámbito de la videovigilancia este principio supone: a) Que el número de cámaras se limite a las necesarias para cumplir la función de vigilancia. b) Que el RESPONSABLE analice también los requisitos técnicos de las cámaras, ya que el zoom, o las denominadas “cámaras domo” pueden afectar al citado principio de minimización.
• UBICACIÓN DEL SISTEMA: El sistema de grabación se ubicará en un lugar vigilado o de acceso restringido.
• UBICACIÓN DE MONITORES: Los monitores de grabación deben situarse de forma que, en la medida de lo posible, únicamente puedan ser visualizados por aquellos cuya función sea controlar los equipos que realizan las grabaciones. En ningún caso deben estar ubicados de forma que clientes o usuarios puedan ver las imágenes.
• UBICACIÓN DE LAS CÁMARAS: No podrán captarse imágenes de la vía pública a excepción de una franja mínima de los accesos al establecimiento. Tampoco podrán captarse imágenes de terrenos y viviendas colindantes o de cualquier otro espacio ajeno. Si se utilizan cámaras orientables y/o con zoom será necesaria la instalación de máscaras de privacidad para evitar captar imágenes de la vía pública, terrenos y viviendas de terceros.
• CONSERVACIÓN DE IMÁGENES: Las imágenes serán conservadas durante un plazo máximo de un mes desde su captación, transcurrido el cual se procederá al borrado, salvo cuando hubieran de ser conservados para acreditar la comisión de actos que atenten contra la integridad de personas, bienes o instalaciones. En tal caso, las imágenes deberán ser puestas a disposición de la autoridad competente en un plazo máximo de setenta y dos horas desde que se tuviera conocimiento de la existencia de la grabación. No podrán utilizarse para otro fin. La petición de imágenes por las Fuerzas y Cuerpos de Seguridad se realizará en el marco de actuaciones judiciales o policiales. El requerimiento al titular del tratamiento será el documento que ampare a éste para ceder datos
• EVALUACIÓN DE IMPACTO. Realizar, por su propia cuenta y riesgo, las correspondientes evaluaciones de impacto para la privacidad sobre las actividades de tratamiento que pudieran derivar en un alto riesgo para la privacidad de los interesados, de acuerdo con el artículo 35 del RGPD
• CONTROL LABORAL: Cuando las cámaras vayan a utilizarse con la finalidad de control laboral según lo previsto en el artículo 20.3 del Estatuto de los Trabajadores, se informará al trabajador o a sus representantes acerca de las medidas de control establecidas por el empresario con indicación expresa de la finalidad de control laboral de las imágenes captadas por las cámaras.

La videovigilancia sólo debe utilizarse cuando no sea posible acudir a otros medios que causen menos impacto en la privacidad. En este sentido, los sistemas de videovigilancia para control empresarial sólo se adoptarán cuando exista una relación de proporcionalidad entre la finalidad perseguida y el modo en que se traten las imágenes y no haya otra Control de la actividad laboral. El control audiovisual ha de respetar los derechos fundamentales de la persona trabajadora, especialmente el derecho a la intimidad personal (STC 98/2000, de 10 abril y 186/2000, de 10 julio). Se evitará la captación de imágenes en zonas destinadas al descanso o esparcimiento de los trabajadores.

• DEBER DE INFORMACIÓN: Cumplir con el deber de información, así como aplicar las bases legitimadoras adecuadas para el tratamiento de los Datos Personales, recabando el consentimiento explícito cuando así fuera necesario.

Se informará acerca de la existencia de las cámaras y grabación de imágenes a través de un cartel informativo, donde mediante un pictograma y un texto se detalle el RESPONSABLE ante el cual los interesados podrán ejercer sus derechos. En el propio pictograma se podrá incluir el texto informativo, que deberá estar situado en un lugar suficientemente visible. En todo caso, el RESPONSABLE deberá mantener a disposición de los afectados la información a la que se refieren los artículos 15 a 22 del Reglamento (UE) 2016/679.

En la página web de la Autoridad de control (www.aepd.es) se dispone de modelos, tanto del pictograma como del texto. En el caso de que el sistema de videovigilancia corresponda a un lugar público utilizado por las Fuerzas y Cuerpos de seguridad, el distintivo informativo será acorde a lo dispuesto en el art. 22 de la Ley Orgánica 4/1997, de 4 de agosto, por la que se regula la utilización de videocámaras por las Fuerzas y Cuerpos de Seguridad en lugares públicos.

– DERECHO DE ACCESO A LAS IMÁGENES: Para dar cumplimiento al derecho de acceso de los interesados, se solicitará una fotografía reciente y datos que permitan acreditar la identidad del interesado fehacientemente, así como el detalle de la fecha y hora a la que se refiere el derecho de acceso. No se facilitará al interesado acceso directo a las imágenes en las que se muestren terceros; en su defecto, se facilitará un documento que confirme o niegue la existencia de las imágenes.

-MEDIDAS DE SEGURIDAD TÉCNICAS:

• NO se debe captar voz como norma general.
  • A las imágenes sólo podrán acceder la persona que autorice la dirección, y deberá disponer de usuario y contraseña personalizados, no se deben compartir estas credenciales.
  • La contraseña debe ser segura, con mayúsculas, minúsculas, números y algún carácter especial.
• Si el sistema ofrece más mecanismos de autenticación, como la verificación en 2 pasos se deben activar.
• Si es posible cada usuario deberá disponer de credenciales únicas de acceso.
  • Verificar el registro de acceso (registro de logs) periódicamente para comprobar que no están accediendo al sistema usuarios no autorizados.
• Si se introducen credenciales de acceso erróneas al sistema de manera reiterada, por ejemplo, tras 3 intentos, el sistema se debe bloquear temporalmente.
• Las contraseñas se deben cambiar al menos una vez al año.
  • Deshabilitar el inicio de sesión automático en la aplicación de videovigilancia, sobre todo si el dispositivo desde el que se accede es utilizado por varias personas.
• Actualizar el firmware del grabador periódicamente.
• Actualizar el firmware de las cámaras periódicamente.
• Situar el grabador en un lugar protegido, en un rack o un departamento con llave, o bien, escondido en lugares poco accesibles.

• Cumplir con todo el resto de sus obligaciones como responsable del tratamiento en materia de protección de datos establecidas en el RGPD, la normativa española y cualquier otra norma, regla, sentencia, resolución o guía que fuera de aplicación.

• El CLIENTE no podrá trasladar ninguna de las anteriores obligaciones a SECOND, a menos que éste lo hubiera aceptado expresamente y por escrito.

OBLIGACIONES DE SECOND

SECOND manifiesta estar al corriente en lo que concierne a las obligaciones derivadas de la normativa de protección de datos, especialmente en lo que se refiere a la implantación de las medidas de seguridad para las diferentes categorías de datos y de tratamiento establecidas en el artículo 32 del RGPD.

REGULACION DEL ACCESO A DATOS DE SECOND COMO ENCARGADO DE TRATAMIENTO

En cumplimiento de lo dispuesto en el artículo 28 del RGPD, SECOND ofrece suficientes garantías para implementar políticas técnicas y organizativas apropiadas para aplicar las medidas de seguridad que establece la normativa vigente y proteger los derechos de los interesados. El ámbito de aplicación de estas medidas será:

• Los recursos bajo el control de SECOND (incluyendo sistemas informáticos y de archivo, centros de trabajo y

trabajadores) y que éste destine al tratamiento de los datos.

• Los sistemas de videovigilancia y demás recursos bajo el control del CLIENTE cuando éste haya encomendado a SECOND la gestión de la seguridad de los mismos.
• Los sistemas de videovigilancia o cualquier sistema de información que SECOND desarrolle o implante por cuenta del CLIENTE.

Ambas partes convienen suscribir las siguientes:

INSTRUCCIONES PARA EL TRATAMIENTO DE DATOS

Tipo de datos personales y categoría de interesados

• Tipo de datos personales a los que tendrá acceso SECOND: Imagen, Vídeo, Imagen y vídeo. No se captará audio a través de los sistemas de videovigilancia, salvo en las grabaciones de llamadas de la Central Receptora de Alarmas (CRA) por motivos de seguridad y legalidad ya descritos en este acuerdo.
• Categorías de interesados: Cualquier persona que sea captada por las cámaras que han sido instaladas en los locales que haya decidido el CLIENTE.
• Operaciones de tratamiento autorizadas: las estrictamente necesarias para alcanzar la finalidad del encargo.

Obligaciones y derechos del CLIENTE

El CLIENTE garantiza que los datos facilitados al SECOND se han obtenido lícitamente y que son adecuados, pertinentes y limitados a los fines del tratamiento.

El CLIENTE pondrá a disposición de SECOND cuanta información sea necesaria para ejecutar las prestaciones objeto del encargo.

El CLIENTE advierte al SECOND de que, si determina por su cuenta los fines y los medios del tratamiento, se considerará CLIENTE del tratamiento y estará sujeto a cumplir las disposiciones de la normativa vigente aplicables como tal.

Obligaciones y derechos De SECOND

SECOND se obliga a respetar todas las obligaciones que pudieran corresponderle como Encargado del tratamiento conforme a lo dispuesto en la normativa vigente y cualquier otra disposición o regulación que le fuera igualmente aplicable.

SECOND no destinará, aplicará o utilizará los datos a los que tenga acceso para un fin distinto al encargo o que suponga el incumplimiento de este contrato.

SECOND pondrá a disposición del CLIENTE la información necesaria para demostrar el cumplimiento del contrato, permitiendo las inspecciones y auditorías necesarias para evaluar el tratamiento.

Personal autorizado para realizar el tratamiento

SECOND garantiza que el personal autorizado para realizar el tratamiento se ha comprometido de forma expresa y por escrito a respetar la confidencialidad de los datos.

SECOND tomará medidas para garantizar que cualquier persona que actúe bajo su autoridad y tenga acceso a datos personales solo pueda tratarlos siguiendo las instrucciones del CLIENTE o esté obligada a ello en virtud de la legislación vigente.

SECOND garantiza que el personal autorizado para realizar el tratamiento ha recibido la formación necesaria para asegurar que no se pondrá en riesgo la protección de datos personales.

Medidas de seguridad

SECOND manifiesta estar al corriente en lo que concierne a las obligaciones derivadas de la normativa de protección de datos, especialmente en lo que se refiere a la implantación de las medidas de seguridad para las diferentes categorías de datos y de tratamiento establecidas en el artículo 32 del RGPD.

SECOND garantiza que se implementarán adecuadamente dichas medidas de seguridad y ayudará al CLIENTE a cumplir las obligaciones establecidas en los artículos del 32 al 36 del RGPD, teniendo en cuenta la naturaleza del tratamiento y la información a disposición de SECOND.

El CLIENTE realizará un análisis de los posibles riesgos derivados del tratamiento para determinar las medidas de seguridad apropiadas para garantizar la seguridad de la información tratada y los derechos de los interesados y, si determinara que existen riesgos, trasladará al SECOND un informe con la evaluación de impacto para que proceda a la implementación de medidas adecuadas para evitarlos o mitigarlos.

SECOND, por su parte, deberá analizar los posibles riesgos y otras circunstancias que puedan incidir en la seguridad que le sean atribuibles, debiendo informar, si los hubiere, al CLIENTE para evaluar su impacto.

De todas formas, SECOND garantiza que, teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, el alcance, el contexto y los fines del tratamiento, implementará medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo que entrañe el tratamiento, que en su caso incluya, entre otros:

• Seudonimización y cifrado de datos personales.
• Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
• Restaurar la disponibilidad y el acceso a datos de forma rápida en caso de incidente físico o técnico. Procedimientos de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

Violación de la seguridad

Las violaciones de seguridad de que tenga conocimiento SECOND deberán notificarse sin dilación indebida al CLIENTE para su conocimiento y aplicación de medidas para remediar y mitigar los efectos ocasionados. No será necesaria la notificación cuando sea improbable que comporte un riesgo para los derechos y las libertades de las personas físicas.

La notificación de una violación de seguridad deberá contener, como mínimo, la siguiente información:

• Descripción de la naturaleza de la violación.
• Categorías y el número aproximado de interesados afectados.
• Categorías y el número aproximado de registros de datos afectados.
• Posibles consecuencias.
• Medidas adoptadas o propuestas para remediar o mitigar los efectos.
• Datos de contacto donde pueda obtenerse más información (DPO de SECOND, responsable del servicio, etc.).

Comunicación de los datos a terceros

SECOND, podrá comunicar los datos a las Fuerzas y Cuerpos de Seguridad y a los Juzgados y Tribunales que los requieran, no pudiendo utilizarse para otra finalidad.

La transmisión de datos a autoridades públicas en el ejercicio de sus funciones públicas no es consideradas comunicaciones de datos, por lo que no se precisará la autorización del CLIENTE si dichas transmisiones son necesarias para alcanzar la finalidad del encargo.

Transferencias internacionales de datos

SECOND no podrá realizar transferencias de datos a terceros países u organizaciones internacionales no establecidos en la UE, salvo que hubiera obtenido una autorización previa y por escrito del CLIENTE; la cual, de existir, se anexará al presente contrato.

Subcontratación del tratamiento de datos

SECOND podrá subcontratar a un tercero (subencargado) la realización de tratamientos de datos que le hubiera encomendado el CLIENTE. En caso de que SECOND tuviera la necesidad de subcontratar la totalidad o parte de los servicios, lo comunicará al CLIENTE con una antelación mínima de quince (15) días naturales.

Si en un plazo de diez (10) días desde la notificación, el CLIENTE no comunica su oposición expresa por escrito, se entenderá que la subcontratación es autorizada.

En caso de que el CLIENTE ejerza su derecho de oposición a la subcontratación por motivos justificados, SECOND se abstendrá de realizar dicha subcontratación y, si fuera necesario para la correcta prestación del servicio, las partes podrán acordar la resolución del contrato.

En todo caso, SECOND garantiza que:

• Formalizará con el subencargado un contrato en los términos exigidos por el Art. 28.4 del RGPD, imponiéndole las mismas obligaciones de protección de datos y medidas de seguridad que las asumidas por SECOND en el presente acuerdo.
• SECOND seguirá siendo plenamente responsable ante el CLIENTE del cumplimiento de las obligaciones por parte del subencargado.

Derechos de los interesados

SECOND dispone de un protocolo de actuación para la atención de los derechos de los interesados para garantizar un respuesta rápida y efectiva del ejercicio de los mismos.
Corresponde el RESPONSABLE atender las solicitudes de acceso, rectificación, supresión y demás derechos de protección de datos.

Corresponde a SECOND comunicar dichas solicitudes, sin dilación, al RESPONSABLE, y asistir al RESPONSABLE a atenderlas, teniendo en cuenta lo siguiente:

Derecho de acceso a las imágenes de videovigilancia. Para dar cumplimiento al derecho de acceso de los interesados se solicita una fotografía reciente y datos que permitan acreditar la identidad del interesado fehacientemente, así como el detalle de la fecha y hora a la que se refiere el derecho de acceso. En tal caso, se dará traslado de la solicitud al RESPONSABLE y se seguirán sus instrucciones. No se facilitará al interesado acceso directo a las imágenes de las cámaras en las que se muestren imágenes de terceros (ni tan solo la mera visualización). En caso de no ser posible la visualización de las imágenes por el interesado sin mostrar imágenes de terceros, se facilitará un documento al interesado en el que se confirme o niegue la existencia de imágenes del interesado.

Responsabilidad
Conforme al artículo 82 del RGPD, el CLIENTE responderá de los daños y perjuicios causados en cualquier operación de tratamiento en que participe y no cumpla lo dispuesto en las normativas vigentes de protección de datos personales .SECOND únicamente responderá de los daños y perjuicios causados por el tratamiento cuando no haya cumplido con las obligaciones de las normativas de protección de datos personales, asumiendo la responsabilidad reflejada en las condiciones generales del contrato de prestación de servicios y que se señala a continuación:

“ En caso de que a SECOND se le pudiera imputar o derivar responsabilidad por su actividad de Mantenimiento y /o Central de Alarmas, la cuantificación de dicha responsabilidad nunca podrá superar una anualidad de lo cobrado por SECOND por dichos conceptos. En todo caso, y dentro de los límites establecidos en la presente cláusula, SECOND no será responsable con respecto a los daños o pérdidas o responsabilidades que no sean notificadas dentro de los quince (15) días naturales tras la fecha del incidente a que dé lugar los mismos.”

Del mismo modo, SECOND estará exento de responsabilidad si demuestra que no es en modo alguno responsable del hecho que haya causado los daños y perjuicios.

Fin de la prestación de servicio

Una vez finalice la prestación de servicios objeto de este contrato, si SECOND en calidad de ENCARGADO DE TRATAMIENTO hubiera almacenado datos personales, o cualquier otro documento y/o soporte que se le hubiera facilitado por cualquier medio, deberá devolverlos, suprimirlos o entregarlos a un nuevo ENCARGADO, a elección del CLIENTE, incluidas las copias existentes. SECOND deberá emitir un certificado de devolución o destrucción si así lo exigiera el CLIENTE.

No procederá la supresión de datos cuando se requiera su conservación por una obligación legal, en cuyo caso SECOND procederá a la custodia de los mismos bloqueando los datos y limitando su tratamiento en tanto que pudieran derivarse responsabilidades de su relación con el CLIENTE.

 SECOND mantendrá el deber de secreto y confidencialidad de los datos incluso después de finalizar la relación objeto de este contrato.